🥇ກຸ່ມ RTM cyber ຊ່ຽວຊານໃນການລັກເງິນຈາກບໍລິສັດລັດເຊຍ

ມີກຸ່ມ cyber ທີ່ຮູ້ຈັກຫຼາຍກຸ່ມທີ່ມີຄວາມຊ່ຽວຊານໃນການລັກລອບເງິນຈາກບໍລິສັດລັດເຊຍ. ພວກເຮົາໄດ້ເຫັນການໂຈມຕີໂດຍໃຊ້ຊ່ອງຫວ່າງຄວາມປອດໄພທີ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງເຄືອຂ່າຍຂອງເປົ້າຫມາຍ. ເມື່ອພວກເຂົາເຂົ້າເຖິງ, ຜູ້ໂຈມຕີຈະກວດເບິ່ງໂຄງສ້າງເຄືອຂ່າຍຂອງອົງການແລະນໍາໃຊ້ເຄື່ອງມືຂອງຕົນເອງເພື່ອລັກເອົາເງິນ. ຕົວຢ່າງຄລາສສິກຂອງແນວໂນ້ມນີ້ແມ່ນກຸ່ມແຮກເກີ Buhtrap, Cobalt ແລະ Corkow.

ກຸ່ມ RTM ທີ່ບົດລາຍງານນີ້ເນັ້ນໃສ່ແມ່ນສ່ວນຫນຶ່ງຂອງແນວໂນ້ມນີ້. ມັນໃຊ້ malware ທີ່ຖືກອອກແບບພິເສດທີ່ຂຽນໃນ Delphi, ເຊິ່ງພວກເຮົາຈະເບິ່ງລາຍລະອຽດເພີ່ມເຕີມໃນພາກຕໍ່ໄປນີ້. ຮ່ອງຮອຍທໍາອິດຂອງເຄື່ອງມືເຫຼົ່ານີ້ຢູ່ໃນລະບົບ telemetry ESET ໄດ້ຖືກຄົ້ນພົບໃນທ້າຍປີ 2015. ທີມງານໂຫຼດໂມດູນໃຫມ່ຕ່າງໆໃສ່ລະບົບທີ່ຕິດເຊື້ອຕາມຄວາມຕ້ອງການ. ການໂຈມຕີແມ່ນແນໃສ່ຜູ້ໃຊ້ລະບົບທະນາຄານທີ່ຫ່າງໄກສອກຫຼີກຢູ່ຣັດເຊຍ ແລະບາງປະເທດບ້ານໃກ້ເຮືອນຄຽງ.

1. ເປົ້າໝາຍ

ແຄມເປນ RTM ແມ່ນແນໃສ່ຜູ້ໃຊ້ຂອງບໍລິສັດ - ນີ້ແມ່ນເຫັນໄດ້ຊັດເຈນຈາກຂະບວນການທີ່ຜູ້ໂຈມຕີພະຍາຍາມກວດພົບໃນລະບົບທີ່ຖືກທໍາລາຍ. ຈຸດສຸມແມ່ນກ່ຽວກັບຊອບແວການບັນຊີສໍາລັບການເຮັດວຽກກັບລະບົບທະນາຄານຫ່າງໄກສອກຫຼີກ.

ບັນຊີລາຍຊື່ຂະບວນການທີ່ມີຄວາມສົນໃຈກັບ RTM ຄ້າຍຄືກັບບັນຊີລາຍຊື່ທີ່ສອດຄ້ອງກັນຂອງກຸ່ມ Buhtrap, ແຕ່ກຸ່ມຕ່າງໆມີ vectors ການຕິດເຊື້ອທີ່ແຕກຕ່າງກັນ. ຖ້າ Buhtrap ໃຊ້ຫນ້າປອມເລື້ອຍໆ, ຫຼັງຈາກນັ້ນ RTM ໄດ້ໃຊ້ການໂຈມຕີໂດຍການດາວໂຫຼດ (ການໂຈມຕີໃນຕົວທ່ອງເວັບຫຼືອົງປະກອບຂອງມັນ) ແລະ spamming ທາງອີເມວ. ອີງຕາມຂໍ້ມູນ telemetry, ໄພຂົ່ມຂູ່ແມ່ນແນໃສ່ລັດເຊຍແລະຫຼາຍປະເທດໃກ້ຄຽງ (ອູແກຣນ, Kazakhstan, ສາທາລະນະລັດເຊັກ, ເຢຍລະມັນ). ຢ່າງໃດກໍ່ຕາມ, ເນື່ອງຈາກການນໍາໃຊ້ກົນໄກການແຈກຢາຍມະຫາຊົນ, ການກວດພົບ malware ຢູ່ນອກພາກພື້ນເປົ້າຫມາຍແມ່ນບໍ່ແປກໃຈ.

ຈໍານວນທັງຫມົດຂອງການກວດສອບ malware ແມ່ນຂ້ອນຂ້າງນ້ອຍ. ໃນທາງກົງກັນຂ້າມ, ແຄມເປນ RTM ໃຊ້ໂຄງການທີ່ສັບສົນ, ເຊິ່ງຊີ້ໃຫ້ເຫັນວ່າການໂຈມຕີແມ່ນເປົ້າຫມາຍສູງ.

ພວກເຮົາໄດ້ຄົ້ນພົບເອກະສານຫລອກລວງຈໍານວນຫນຶ່ງນໍາໃຊ້ໂດຍ RTM, ລວມທັງສັນຍາທີ່ບໍ່ມີຢູ່ແລ້ວ, ໃບເກັບເງິນຫຼືເອກະສານການບັນຊີພາສີ. ລັກສະນະຂອງການລໍ້ລວງ, ບວກກັບປະເພດຂອງຊອບແວທີ່ຖືກເປົ້າຫມາຍໂດຍການໂຈມຕີ, ຊີ້ໃຫ້ເຫັນວ່າຜູ້ໂຈມຕີກໍາລັງ "ເຂົ້າໄປໃນ" ເຄືອຂ່າຍຂອງບໍລິສັດລັດເຊຍໂດຍຜ່ານພະແນກບັນຊີ. ກຸ່ມດັ່ງກ່າວປະຕິບັດຕາມໂຄງການດຽວກັນ Buhtrap ໃນປີ 2014-2015

ໃນລະຫວ່າງການຄົ້ນຄວ້າ, ພວກເຮົາສາມາດພົວພັນກັບເຊີບເວີ C&C ຫຼາຍອັນ. ພວກເຮົາຈະບອກບັນຊີລາຍຊື່ເຕັມຂອງຄໍາສັ່ງໃນພາກຕໍ່ໄປນີ້, ແຕ່ສໍາລັບໃນປັດຈຸບັນພວກເຮົາສາມາດເວົ້າວ່າລູກຄ້າໂອນຂໍ້ມູນຈາກ keylogger ໂດຍກົງກັບເຄື່ອງແມ່ຂ່າຍການໂຈມຕີ, ຈາກຄໍາສັ່ງເພີ່ມເຕີມໄດ້ຮັບຫຼັງຈາກນັ້ນ.

ຢ່າງໃດກໍຕາມ, ມື້ທີ່ທ່ານສາມາດເຊື່ອມຕໍ່ຄໍາສັ່ງແລະເຄື່ອງແມ່ຂ່າຍການຄວບຄຸມແລະເກັບກໍາຂໍ້ມູນທັງຫມົດທີ່ເຈົ້າສົນໃຈແມ່ນຫມົດໄປ. ພວກເຮົາສ້າງໄຟລ໌ບັນທຶກຕົວຈິງຄືນໃໝ່ເພື່ອໃຫ້ໄດ້ບາງຄຳສັ່ງທີ່ກ່ຽວຂ້ອງຈາກເຊີບເວີ.

ທໍາອິດຂອງພວກເຂົາແມ່ນຄໍາຮ້ອງຂໍໃຫ້ bot ໂອນໄຟລ໌ 1c_to_kl.txt - ໄຟລ໌ການຂົນສົ່ງຂອງໂປແກມ 1C: Enterprise 8, ຮູບລັກສະນະທີ່ຖືກຕິດຕາມຢ່າງຫ້າວຫັນໂດຍ RTM. 1C ໂຕ້ຕອບກັບລະບົບທະນາຄານຫ່າງໄກສອກຫຼີກໂດຍການອັບໂຫລດຂໍ້ມູນການຊໍາລະອອກໄປຫາໄຟລ໌ຂໍ້ຄວາມ. ຕໍ່ໄປ, ໄຟລ໌ຖືກສົ່ງໄປຫາລະບົບທະນາຄານຫ່າງໄກສອກຫຼີກເພື່ອອັດຕະໂນມັດແລະການປະຕິບັດຄໍາສັ່ງຂອງການຈ່າຍເງິນ.

ໄຟລ໌ປະກອບມີລາຍລະອຽດການຈ່າຍເງິນ. ຖ້າຜູ້ໂຈມຕີປ່ຽນຂໍ້ມູນກ່ຽວກັບການຊໍາລະທີ່ຈ່າຍອອກ, ການໂອນເງິນຈະຖືກສົ່ງໂດຍໃຊ້ລາຍລະອຽດທີ່ບໍ່ຖືກຕ້ອງໄປຫາບັນຊີຂອງຜູ້ໂຈມຕີ.

ປະມານຫນຶ່ງເດືອນຫຼັງຈາກການຮ້ອງຂໍໄຟລ໌ເຫຼົ່ານີ້ຈາກເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງແລະການຄວບຄຸມ, ພວກເຮົາສັງເກດເຫັນ plugin ໃຫມ່, 1c_2_kl.dll, ຖືກໂຫລດໃສ່ລະບົບທີ່ຖືກທໍາລາຍ. ໂມດູນ (DLL) ຖືກອອກແບບມາເພື່ອວິເຄາະໄຟລ໌ດາວໂຫຼດອັດຕະໂນມັດໂດຍການເຈາະລົງຂະບວນການບັນຊີຊອບແວ. ພວກເຮົາຈະອະທິບາຍລາຍລະອຽດໃນພາກຕໍ່ໄປນີ້.

ຫນ້າສົນໃຈ, FinCERT ຂອງທະນາຄານແຫ່ງລັດເຊຍໃນທ້າຍປີ 2016 ໄດ້ອອກແຈ້ງການເຕືອນກ່ຽວກັບອາຊະຍາກໍາທາງອິນເຕີເນັດໂດຍໃຊ້ໄຟລ໌ອັບໂຫລດ 1c_to_kl.txt. ນັກພັດທະນາຈາກ 1C ຍັງຮູ້ກ່ຽວກັບໂຄງການນີ້;

ໂມດູນອື່ນໆຍັງຖືກໂຫລດຈາກເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ, ໂດຍສະເພາະ VNC (ຮຸ່ນ 32 ແລະ 64 ບິດຂອງມັນ). ມັນຄ້າຍຄືກັບໂມດູນ VNC ທີ່ຖືກນໍາໃຊ້ໃນເມື່ອກ່ອນໃນການໂຈມຕີ Dridex Trojan. ໂມດູນນີ້ຖືກໃຊ້ເພື່ອເຊື່ອມຕໍ່ຫ່າງໄກສອກຫຼີກກັບຄອມພິວເຕີທີ່ຕິດເຊື້ອແລະດໍາເນີນການສຶກສາລາຍລະອຽດຂອງລະບົບ. ຕໍ່ໄປ, ຜູ້ໂຈມຕີພະຍາຍາມເຄື່ອນຍ້າຍໄປທົ່ວເຄືອຂ່າຍ, ສະກັດລະຫັດຜ່ານຂອງຜູ້ໃຊ້, ເກັບກໍາຂໍ້ມູນແລະຮັບປະກັນການປະກົດຕົວຢ່າງຕໍ່ເນື່ອງຂອງ malware.

2. ວັກຊີນຂອງການຕິດເຊື້ອ

ຕົວເລກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນ vectors ການຕິດເຊື້ອທີ່ກວດພົບໃນໄລຍະການສຶກສາຂອງແຄມເປນ. ກຸ່ມດັ່ງກ່າວໃຊ້ vectors ຢ່າງກວ້າງຂວາງ, ແຕ່ສ່ວນໃຫຍ່ແມ່ນການໂຈມຕີໂດຍການດາວໂຫຼດແລະ spam. ເຄື່ອງມືເຫຼົ່ານີ້ແມ່ນສະດວກສໍາລັບການໂຈມຕີເປົ້າຫມາຍ, ເນື່ອງຈາກວ່າໃນກໍລະນີທໍາອິດ, ຜູ້ໂຈມຕີສາມາດເລືອກເອົາສະຖານທີ່ໄປຢ້ຽມຢາມໂດຍຜູ້ຖືກເຄາະຮ້າຍທີ່ເປັນໄປໄດ້, ແລະໃນທີສອງ, ພວກເຂົາສາມາດສົ່ງອີເມວທີ່ມີໄຟລ໌ແນບໂດຍກົງກັບພະນັກງານຂອງບໍລິສັດທີ່ຕ້ອງການ.

malware ໄດ້ຖືກແຈກຢາຍຜ່ານຫຼາຍຊ່ອງທາງ, ລວມທັງ RIG ແລະ Sundown exploit kits ຫຼື spam mail, ຊີ້ໃຫ້ເຫັນການເຊື່ອມຕໍ່ລະຫວ່າງຜູ້ໂຈມຕີແລະຜູ້ໂຈມຕີທາງອິນເຕີເນັດອື່ນໆທີ່ໃຫ້ບໍລິການເຫຼົ່ານີ້.

2.1. RTM ແລະ Buhtrap ມີຄວາມກ່ຽວຂ້ອງກັນແນວໃດ?

ແຄມເປນ RTM ແມ່ນຄ້າຍຄືກັນກັບ Buhtrap. ຄໍາຖາມທໍາມະຊາດແມ່ນ: ພວກມັນມີຄວາມກ່ຽວຂ້ອງກັນແນວໃດ?

ໃນເດືອນກັນຍາ 2016, ພວກເຮົາໄດ້ສັງເກດເຫັນຕົວຢ່າງ RTM ຖືກແຈກຢາຍໂດຍໃຊ້ Buhtrap uploader. ນອກຈາກນັ້ນ, ພວກເຮົາພົບເຫັນສອງໃບຢັ້ງຢືນດິຈິຕອນທີ່ໃຊ້ໃນທັງ Buhtrap ແລະ RTM.

ທໍາອິດ, ຖືກກ່າວຫາວ່າອອກໃຫ້ບໍລິສັດ DNISTER-M, ຖືກນໍາໃຊ້ເພື່ອເຊັນຊື່ແບບດິຈິຕອນໃນແບບຟອມ Delphi ທີສອງ (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ແລະ Buhtrap DLL (SHA-1: 1E2642B454CCD2 889).

ອັນທີສອງ, ອອກໃຫ້ Bit-Tredj, ຖືກນໍາໃຊ້ເພື່ອເຊັນເຄື່ອງບັນທຸກ Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ແລະ B74F71560E48488D2153AE2FB51207A0AC206E2).

ຜູ້ປະກອບການ RTM ໃຊ້ໃບຢັ້ງຢືນທີ່ມີລັກສະນະທົ່ວໄປກັບຄອບຄົວ malware ອື່ນໆ, ແຕ່ພວກເຂົາຍັງມີໃບຢັ້ງຢືນທີ່ເປັນເອກະລັກ. ອີງຕາມການ telemetry ESET, ມັນຖືກອອກໃຫ້ Kit-SD ແລະພຽງແຕ່ຖືກນໍາໃຊ້ເພື່ອເຊັນບາງ RTM malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).

RTM ໃຊ້ loader ດຽວກັນກັບ Buhtrap, ອົງປະກອບ RTM ຖືກໂຫລດຈາກໂຄງສ້າງພື້ນຖານຂອງ Buhtrap, ດັ່ງນັ້ນກຸ່ມມີຕົວຊີ້ວັດເຄືອຂ່າຍທີ່ຄ້າຍຄືກັນ. ຢ່າງໃດກໍຕາມ, ອີງຕາມການຄາດຄະເນຂອງພວກເຮົາ, RTM ແລະ Buhtrap ແມ່ນກຸ່ມທີ່ແຕກຕ່າງກັນ, ຢ່າງຫນ້ອຍເນື່ອງຈາກວ່າ RTM ໄດ້ຖືກແຈກຢາຍໃນທາງທີ່ແຕກຕ່າງກັນ (ບໍ່ພຽງແຕ່ໃຊ້ຕົວດາວໂຫລດ "ຕ່າງປະເທດ").

ເຖິງວ່າຈະມີນີ້, ກຸ່ມແຮກເກີໃຊ້ຫຼັກການປະຕິບັດງານທີ່ຄ້າຍຄືກັນ. ພວກເຂົາແນເປົ້າໃສ່ທຸລະກິດທີ່ໃຊ້ຊອບແວການບັນຊີ, ຄ້າຍຄືກັນກັບການເກັບກໍາຂໍ້ມູນລະບົບ, ຄົ້ນຫາຕົວອ່ານບັດອັດສະລິຍະ, ແລະນຳໃຊ້ເຄື່ອງມືທີ່ເປັນອັນຕະລາຍເພື່ອສອດແນມຜູ້ເຄາະຮ້າຍ.

3. ວິວັດທະນາການ

ໃນພາກນີ້, ພວກເຮົາຈະເບິ່ງສະບັບທີ່ແຕກຕ່າງກັນຂອງ malware ທີ່ພົບເຫັນໃນລະຫວ່າງການສຶກສາ.

3.1. ຮຸ່ນ

RTM ເກັບຮັກສາຂໍ້ມູນການຕັ້ງຄ່າຢູ່ໃນພາກສ່ວນການລົງທະບຽນ, ສ່ວນທີ່ຫນ້າສົນໃຈຫຼາຍທີ່ສຸດແມ່ນ botnet-prefix. ບັນຊີລາຍຊື່ຂອງຄ່າທັງຫມົດທີ່ພວກເຮົາໄດ້ເຫັນໃນຕົວຢ່າງທີ່ພວກເຮົາໄດ້ສຶກສາແມ່ນນໍາສະເຫນີຢູ່ໃນຕາຕະລາງຂ້າງລຸ່ມນີ້.

ມັນເປັນໄປໄດ້ວ່າຄ່າສາມາດຖືກນໍາໃຊ້ເພື່ອບັນທຶກສະບັບ malware. ຢ່າງໃດກໍຕາມ, ພວກເຮົາບໍ່ໄດ້ສັງເກດເຫັນຄວາມແຕກຕ່າງຫຼາຍລະຫວ່າງສະບັບເຊັ່ນ bit2 ແລະ bit3, 0.1.6.4 ແລະ 0.1.6.6. ຍິ່ງໄປກວ່ານັ້ນ, ຫນຶ່ງໃນຄໍານໍາຫນ້າໄດ້ປະມານນັບຕັ້ງແຕ່ການເລີ່ມຕົ້ນແລະໄດ້ພັດທະນາຈາກໂດເມນ C&C ປົກກະຕິໄປສູ່ໂດເມນ .bit, ດັ່ງທີ່ສະແດງຢູ່ຂ້າງລຸ່ມນີ້.

3.2. ຕາຕະລາງ

ການນໍາໃຊ້ຂໍ້ມູນ telemetry, ພວກເຮົາໄດ້ສ້າງເສັ້ນສະແດງການປະກົດຕົວຂອງຕົວຢ່າງ.

4. ການວິເຄາະດ້ານວິຊາການ

ໃນພາກນີ້, ພວກເຮົາຈະອະທິບາຍຫນ້າທີ່ຕົ້ນຕໍຂອງ RTM banking Trojan, ລວມທັງກົນໄກການຕໍ່ຕ້ານ, ຮຸ່ນຂອງຕົນເອງຂອງ RC4 algorithm, ໂປໂຕຄອນເຄືອຂ່າຍ, ການທໍາງານ spying ແລະບາງລັກສະນະອື່ນໆ. ໂດຍສະເພາະ, ພວກເຮົາຈະສຸມໃສ່ຕົວຢ່າງ SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ແລະ 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.

4.1. ການຕິດຕັ້ງແລະປະຫຍັດ

4.1.1. ການຈັດຕັ້ງປະຕິບັດ

ຫຼັກ RTM ແມ່ນ DLL, ຫ້ອງສະຫມຸດຖືກໂຫລດໃສ່ແຜ່ນໂດຍໃຊ້ .EXE. ປົກກະຕິແລ້ວໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້ແມ່ນຫຸ້ມຫໍ່ແລະມີລະຫັດ DLL. ເມື່ອເປີດຕົວ, ມັນສະກັດ DLL ແລະແລ່ນມັນໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

4.1.2. DLL

DLL ຫຼັກຈະຖືກໂຫລດໃສ່ແຜ່ນຢູ່ສະເໝີເປັນ winlogon.lnk ໃນໂຟນເດີ %PROGRAMDATA%Winlogon. ການຂະຫຍາຍໄຟລ໌ນີ້ມັກຈະກ່ຽວຂ້ອງກັບທາງລັດ, ແຕ່ໄຟລ໌ຕົວຈິງແມ່ນ DLL ທີ່ຂຽນໃນ Delphi, ຊື່ core.dll ໂດຍນັກພັດທະນາ, ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້.

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

ເມື່ອເປີດຕົວ, Trojan ເປີດໃຊ້ກົນໄກການຕໍ່ຕ້ານຂອງມັນ. ນີ້ສາມາດເຮັດໄດ້ໃນສອງວິທີທີ່ແຕກຕ່າງກັນ, ຂຶ້ນກັບສິດທິຂອງຜູ້ຖືກເຄາະຮ້າຍໃນລະບົບ. ຖ້າທ່ານມີສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບ, Trojan ຈະເພີ່ມລາຍການ Windows Update ເຂົ້າໃນທະບຽນ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. ຄໍາສັ່ງທີ່ມີຢູ່ໃນ Windows Update ຈະດໍາເນີນການໃນຕອນເລີ່ມຕົ້ນຂອງເຊດຊັນຂອງຜູ້ໃຊ້.

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

Trojan ຍັງພະຍາຍາມເພີ່ມໜ້າວຽກໃສ່ Windows Task Scheduler. ວຽກງານຈະເປີດຕົວ winlogon.lnk DLL ທີ່ມີພາລາມິເຕີດຽວກັນກັບຂ້າງເທິງ. ສິດທິຂອງຜູ້ໃຊ້ປົກກະຕິອະນຸຍາດໃຫ້ Trojan ເພີ່ມ Windows Update ທີ່ມີຂໍ້ມູນດຽວກັນກັບທະບຽນ HKCUSoftwareMicrosoftWindowsCurrentVersionRun:

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

4.2. ແກ້ໄຂ RC4 algorithm

ເຖິງວ່າຈະມີຂໍ້ບົກຜ່ອງທີ່ຮູ້ຈັກ, algorithm RC4 ຖືກນໍາໃຊ້ເປັນປົກກະຕິໂດຍຜູ້ຂຽນ malware. ຢ່າງໃດກໍຕາມ, ຜູ້ສ້າງ RTM ໄດ້ແກ້ໄຂມັນເລັກນ້ອຍ, ອາດຈະເຮັດໃຫ້ວຽກງານຂອງນັກວິເຄາະໄວຣັດມີຄວາມຫຍຸ້ງຍາກຫຼາຍ. ສະບັບດັດແກ້ຂອງ RC4 ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງໃນເຄື່ອງມື RTM ທີ່ເປັນອັນຕະລາຍເພື່ອເຂົ້າລະຫັດສະຕຣິງ, ຂໍ້ມູນເຄືອຂ່າຍ, ການຕັ້ງຄ່າແລະໂມດູນ.

4.2.1. ຄວາມແຕກຕ່າງ

ຕົ້ນສະບັບ RC4 algorithm ປະກອບມີສອງຂັ້ນຕອນ: s-block initialization (aka KSA - Key-Scheduling Algorithm) ແລະ pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). ຂັ້ນຕອນທໍາອິດກ່ຽວຂ້ອງກັບການເລີ່ມຕົ້ນຂອງ s-box ໂດຍໃຊ້ກະແຈ, ແລະໃນຂັ້ນຕອນທີສອງ, ຂໍ້ຄວາມຕົ້ນສະບັບຖືກປຸງແຕ່ງໂດຍໃຊ້ s-box ສໍາລັບການເຂົ້າລະຫັດ.

ຜູ້ຂຽນ RTM ໄດ້ເພີ່ມຂັ້ນຕອນກາງລະຫວ່າງການເລີ່ມຕົ້ນ s-box ແລະການເຂົ້າລະຫັດ. ລະຫັດເພີ່ມເຕີມແມ່ນຕົວແປແລະຖືກກໍານົດໃນເວລາດຽວກັນກັບຂໍ້ມູນທີ່ຈະຖືກເຂົ້າລະຫັດແລະຖອດລະຫັດ. ຫນ້າທີ່ປະຕິບັດຂັ້ນຕອນເພີ່ມເຕີມນີ້ແມ່ນສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້.

4.2.2. ການເຂົ້າລະຫັດສະຕຣິງ

ຢູ່ glance ທໍາອິດ, ມີຫຼາຍເສັ້ນທີ່ສາມາດອ່ານໄດ້ໃນ DLL ຕົ້ນຕໍ. ສ່ວນທີ່ເຫຼືອແມ່ນຖືກເຂົ້າລະຫັດໂດຍໃຊ້ algorithm ທີ່ອະທິບາຍຂ້າງເທິງ, ໂຄງສ້າງທີ່ສະແດງຢູ່ໃນຮູບຕໍ່ໄປນີ້. ພວກເຮົາພົບເຫັນຫຼາຍກວ່າ 25 ກະແຈ RC4 ທີ່ແຕກຕ່າງກັນສໍາລັບການເຂົ້າລະຫັດສະຕຣິງໃນຕົວຢ່າງທີ່ວິເຄາະ. ປຸ່ມ XOR ແມ່ນແຕກຕ່າງກັນສໍາລັບແຕ່ລະແຖວ. ຄ່າຂອງເສັ້ນແຍກຊ່ອງຕົວເລກແມ່ນສະເໝີ 0xFFFFFFFF.

ໃນຕອນເລີ່ມຕົ້ນຂອງການປະຕິບັດ, RTM ຖອດລະຫັດສາຍເຂົ້າໃນຕົວແປທົ່ວໂລກ. ເມື່ອມີຄວາມຈໍາເປັນໃນການເຂົ້າເຖິງສະຕຣິງ, Trojan ໄດນາມິກການຄິດໄລ່ທີ່ຢູ່ຂອງສະຕຣິງທີ່ຖືກຖອດລະຫັດໂດຍອີງໃສ່ທີ່ຢູ່ຖານແລະຊົດເຊີຍ.

ສະຕຣິງມີຂໍ້ມູນທີ່ຫນ້າສົນໃຈກ່ຽວກັບຫນ້າທີ່ຂອງ malware. ບາງສາຍຕົວຢ່າງແມ່ນໃຫ້ຢູ່ໃນພາກ 6.8.

4.3. ເຄືອຂ່າຍ

ວິທີທີ່ມັນແວ RTM ຕິດຕໍ່ກັບເຊີບເວີ C&C ແຕກຕ່າງກັນໄປແຕ່ລະລຸ້ນ. ການແກ້ໄຂຄັ້ງທໍາອິດ (ເດືອນຕຸລາ 2015 - ເດືອນເມສາ 2016) ໄດ້ໃຊ້ຊື່ໂດເມນແບບດັ້ງເດີມພ້ອມກັບອາຫານ RSS ໃນ livejournal.com ເພື່ອປັບປຸງບັນຊີລາຍຊື່ຂອງຄໍາສັ່ງ.

ນັບຕັ້ງແຕ່ເດືອນເມສາ 2016, ພວກເຮົາໄດ້ເຫັນການປ່ຽນແປງໄປຫາໂດເມນ .bit ໃນຂໍ້ມູນ telemetry. ນີ້ແມ່ນການຢືນຢັນໂດຍວັນທີລົງທະບຽນໂດເມນ - ໂດເມນ RTM ທໍາອິດ fde05d0573da.bit ຖືກລົງທະບຽນໃນວັນທີ 13 ມີນາ 2016.

URL ທັງຫມົດທີ່ພວກເຮົາໄດ້ເຫັນໃນຂະນະທີ່ຕິດຕາມແຄມເປນມີເສັ້ນທາງທົ່ວໄປ: /r/z.php. ມັນຂ້ອນຂ້າງຜິດປົກກະຕິແລະມັນຈະຊ່ວຍໃຫ້ກໍານົດການຮ້ອງຂໍ RTM ໃນການໄຫລຂອງເຄືອຂ່າຍ.

4.3.1. ຊ່ອງສໍາລັບຄໍາສັ່ງແລະການຄວບຄຸມ

ຕົວຢ່າງທີ່ເກົ່າແກ່ໄດ້ໃຊ້ຊ່ອງທາງນີ້ເພື່ອປັບປຸງລາຍຊື່ຄໍາສັ່ງແລະເຄື່ອງແມ່ຂ່າຍຄວບຄຸມຂອງພວກເຂົາ. ໂຮດຕິ້ງຕັ້ງຢູ່ໃນ livejournal.com, ໃນເວລາຂຽນບົດລາຍງານມັນຍັງຄົງຢູ່ທີ່ URL hxxp://f72bba81c921.

Livejournal ເປັນບໍລິສັດລັດເຊຍ - ອາເມລິກາທີ່ສະຫນອງເວທີ blogging. ຜູ້ປະກອບການ RTM ສ້າງບລັອກ LJ ທີ່ພວກເຂົາປະກາດບົດຄວາມທີ່ມີຄໍາສັ່ງທີ່ມີລະຫັດ - ເບິ່ງພາບຫນ້າຈໍ.

ເສັ້ນຄໍາສັ່ງແລະການຄວບຄຸມຖືກເຂົ້າລະຫັດໂດຍໃຊ້ RC4 algorithm ທີ່ຖືກດັດແປງ (ພາກ 4.2). ສະບັບປັດຈຸບັນ (ເດືອນພະຈິກ 2016) ຂອງຊ່ອງມີຄໍາສັ່ງ ແລະທີ່ຢູ່ເຊີບເວີຄວບຄຸມຕໍ່ໄປນີ້:

hxxp://cainmoon(.)net/r/z.php
hxxp://rtm..dev/0-3/z.php
hxxp://vpntap(.)top/r/z.php

4.3.2. ໂດເມນ .bit

ໃນຕົວຢ່າງ RTM ຫຼ້າສຸດ, ຜູ້ຂຽນເຊື່ອມຕໍ່ກັບໂດເມນ C&C ໂດຍໃຊ້ໂດເມນລະດັບສູງສຸດ .bit TLD. ມັນບໍ່ແມ່ນຢູ່ໃນ ICANN (ຊື່ໂດເມນແລະບໍລິສັດອິນເຕີເນັດ) ບັນຊີລາຍຊື່ຂອງໂດເມນລະດັບສູງສຸດ. ແທນທີ່ຈະ, ມັນໃຊ້ລະບົບ Namecoin, ເຊິ່ງກໍ່ສ້າງຢູ່ເທິງສຸດຂອງເທກໂນໂລຍີ Bitcoin. ຜູ້ຂຽນ Malware ບໍ່ມັກໃຊ້ .bit TLD ສໍາລັບໂດເມນຂອງພວກເຂົາ, ເຖິງແມ່ນວ່າຕົວຢ່າງຂອງການນໍາໃຊ້ດັ່ງກ່າວໄດ້ຖືກສັງເກດເຫັນໃນສະບັບຂອງ Necurs botnet.

ບໍ່ເຫມືອນກັບ Bitcoin, ຜູ້ໃຊ້ຖານຂໍ້ມູນ Namecoin ທີ່ແຈກຢາຍມີຄວາມສາມາດໃນການບັນທຶກຂໍ້ມູນ. ຄໍາຮ້ອງສະຫມັກຕົ້ນຕໍຂອງຄຸນນະສົມບັດນີ້ແມ່ນ .bit ໂດເມນລະດັບເທິງ. ທ່ານສາມາດລົງທະບຽນໂດເມນທີ່ຈະຖືກເກັບໄວ້ໃນຖານຂໍ້ມູນທີ່ແຈກຢາຍ. ລາຍການທີ່ສອດຄ້ອງກັນໃນຖານຂໍ້ມູນມີທີ່ຢູ່ IP ທີ່ຖືກແກ້ໄຂໂດຍໂດເມນ. TLD ນີ້ແມ່ນ "censorship-resistant" ເພາະວ່າພຽງແຕ່ຜູ້ລົງທະບຽນສາມາດປ່ຽນຄວາມລະອຽດຂອງໂດເມນ .bit ໄດ້. ນີ້ຫມາຍຄວາມວ່າມັນມີຄວາມຫຍຸ້ງຍາກຫຼາຍທີ່ຈະຢຸດໂດເມນທີ່ເປັນອັນຕະລາຍໂດຍໃຊ້ TLD ປະເພດນີ້.

RTM Trojan ບໍ່ໄດ້ຝັງຊອບແວທີ່ຈໍາເປັນເພື່ອອ່ານຖານຂໍ້ມູນ Namecoin ທີ່ແຈກຢາຍ. ມັນໃຊ້ເຄື່ອງແມ່ຂ່າຍ DNS ກາງເຊັ່ນ: dns.dot-bit.org ຫຼືເຄື່ອງແມ່ຂ່າຍ OpenNic ເພື່ອແກ້ໄຂໂດເມນ .bit. ດັ່ງນັ້ນ, ມັນມີຄວາມທົນທານຄືກັນກັບເຄື່ອງແມ່ຂ່າຍ DNS. ພວກເຮົາສັງເກດເຫັນວ່າບາງໂດເມນຂອງທີມງານບໍ່ໄດ້ຖືກກວດພົບຕໍ່ໄປອີກແລ້ວຫຼັງຈາກທີ່ໄດ້ກ່າວມາໃນການຕອບ blog.

ປະໂຫຍດອີກອັນຫນຶ່ງຂອງ .bit TLD ສໍາລັບແຮກເກີແມ່ນຄ່າໃຊ້ຈ່າຍ. ເພື່ອລົງທະບຽນໂດເມນ, ຜູ້ປະກອບການຈໍາເປັນຕ້ອງຈ່າຍພຽງແຕ່ 0,01 NK, ເຊິ່ງເທົ່າກັບ $ 0,00185 (ມາຮອດວັນທີ 5 ທັນວາ 2016). ສໍາລັບການປຽບທຽບ, domain.com ຄ່າໃຊ້ຈ່າຍຢ່າງຫນ້ອຍ $10.

4.3.3. ພິທີການ

ເພື່ອຕິດຕໍ່ສື່ສານກັບເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງແລະການຄວບຄຸມ, RTM ໃຊ້ຄໍາຮ້ອງຂໍ HTTP POST ກັບຂໍ້ມູນທີ່ມີຮູບແບບໂດຍໃຊ້ໂປໂຕຄອນທີ່ກໍາຫນົດເອງ. ຄ່າເສັ້ນທາງແມ່ນສະເຫມີ /r/z.php; ຕົວແທນຜູ້ໃຊ້ Mozilla/5.0 (ເຂົ້າກັນໄດ້; MSIE 9.0; Windows NT 6.1; Trident/5.0). ໃນການຮ້ອງຂໍກັບເຄື່ອງແມ່ຂ່າຍ, ຂໍ້ມູນຖືກຈັດຮູບແບບດັ່ງຕໍ່ໄປນີ້, ບ່ອນທີ່ຄ່າຊົດເຊີຍແມ່ນສະແດງອອກໃນ bytes:

Bytes 0 ຫາ 6 ບໍ່ໄດ້ຖືກເຂົ້າລະຫັດ; bytes ເລີ່ມຕົ້ນຈາກ 6 ຖືກເຂົ້າລະຫັດໂດຍໃຊ້ RC4 algorithm ດັດແກ້. ໂຄງສ້າງຂອງຊຸດການຕອບໂຕ້ C&C ແມ່ນງ່າຍດາຍກວ່າ. Bytes ຖືກເຂົ້າລະຫັດຈາກ 4 ເຖິງຂະຫນາດແພັກເກັດ.

ບັນຊີລາຍຊື່ຂອງຄ່າ byte ທີ່ເປັນໄປໄດ້ແມ່ນນໍາສະເຫນີຢູ່ໃນຕາຕະລາງຂ້າງລຸ່ມນີ້:

ມັລແວຈະຄິດໄລ່ CRC32 ຂອງຂໍ້ມູນທີ່ຖອດລະຫັດໄວ້ສະເໝີ ແລະປຽບທຽບມັນກັບສິ່ງທີ່ຢູ່ໃນແພັກເກັດ. ຖ້າພວກເຂົາແຕກຕ່າງກັນ, Trojan ຫຼຸດລົງແພັກເກັດ.
ຂໍ້ມູນເພີ່ມເຕີມອາດມີວັດຖຸຕ່າງໆ, ລວມທັງໄຟລ໌ PE, ໄຟລ໌ທີ່ຈະຊອກຫາໃນລະບົບໄຟລ໌, ຫຼື URL ຄໍາສັ່ງໃຫມ່.

4.3.4. ກະດານ

ພວກເຮົາສັງເກດເຫັນວ່າ RTM ໃຊ້ແຜງຢູ່ໃນເຊີບເວີ C&C. ພາບໜ້າຈໍຂ້າງລຸ່ມນີ້:

4.4. ລັກສະນະ

RTM ແມ່ນ Trojan ທະນາຄານປົກກະຕິ. ມັນບໍ່ແປກໃຈທີ່ຜູ້ປະກອບການຕ້ອງການຂໍ້ມູນກ່ຽວກັບລະບົບຂອງຜູ້ຖືກເຄາະຮ້າຍ. ໃນອີກດ້ານຫນຶ່ງ, bot ເກັບກໍາຂໍ້ມູນທົ່ວໄປກ່ຽວກັບ OS. ໃນທາງກົງກັນຂ້າມ, ມັນຄົ້ນພົບວ່າລະບົບທີ່ຖືກປະນີປະນອມມີຄຸນລັກສະນະທີ່ກ່ຽວຂ້ອງກັບລະບົບທະນາຄານຫ່າງໄກສອກຫຼີກຂອງລັດເຊຍຫຼືບໍ່.

4.4.1. ຂໍ້ມູນທົ່ວໄປ

ເມື່ອມັນແວຖືກຕິດຕັ້ງ ຫຼືເປີດຫຼັງຈາກປິດເປີດໃໝ່, ລາຍງານຈະຖືກສົ່ງໄປຫາຄໍາສັ່ງ ແລະເຊີບເວີຄວບຄຸມທີ່ປະກອບດ້ວຍຂໍ້ມູນທົ່ວໄປລວມທັງ:

ເຂດເວລາ;
ພາສາລະບົບເລີ່ມຕົ້ນ;
ໃບຢັ້ງຢືນຜູ້ໃຊ້ທີ່ໄດ້ຮັບອະນຸຍາດ;
ລະດັບຄວາມສົມບູນຂອງຂະບວນການ;
ຊື່ຜູ້ໃຊ້;
ຊື່ຄອມພິວເຕີ;
ລຸ້ນ OS;
ໂມດູນຕິດຕັ້ງເພີ່ມເຕີມ;
ໂຄງການ antivirus ຕິດຕັ້ງ;
ບັນຊີລາຍຊື່ຂອງ smart card readers.

4.4.2 ລະບົບທະນາຄານທາງໄກ

ເປົ້າຫມາຍ Trojan ປົກກະຕິແມ່ນລະບົບທະນາຄານຫ່າງໄກສອກຫຼີກ, ແລະ RTM ບໍ່ມີຂໍ້ຍົກເວັ້ນ. ຫນຶ່ງໃນໂມດູນຂອງໂຄງການແມ່ນເອີ້ນວ່າ TBdo, ເຊິ່ງປະຕິບັດວຽກງານຕ່າງໆ, ລວມທັງການສະແກນແຜ່ນແລະປະຫວັດການທ່ອງເວັບ.

ໂດຍການສະແກນແຜ່ນ, Trojan ກວດເບິ່ງວ່າຊອບແວທະນາຄານຖືກຕິດຕັ້ງຢູ່ໃນເຄື່ອງຫຼືບໍ່. ບັນຊີລາຍຊື່ເຕັມຂອງໂຄງການເປົ້າຫມາຍແມ່ນຢູ່ໃນຕາຕະລາງຂ້າງລຸ່ມນີ້. ໂດຍໄດ້ກວດພົບໄຟລ໌ທີ່ມີຄວາມສົນໃຈ, ໂຄງການສົ່ງຂໍ້ມູນໄປຫາເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ. ການປະຕິບັດຕໍ່ໄປແມ່ນຂຶ້ນກັບເຫດຜົນທີ່ກໍານົດໄວ້ໂດຍສູນຄໍາສັ່ງ (C&C) algorithms.

RTM ຍັງຊອກຫາຮູບແບບ URL ໃນປະຫວັດຕົວທ່ອງເວັບຂອງທ່ານແລະແຖບເປີດ. ນອກຈາກນັ້ນ, ໂປລແກລມກວດສອບການໃຊ້ຟັງຊັນ FindNextUrlCacheEntryA ແລະ FindFirstUrlCacheEntryA, ແລະຍັງກວດສອບແຕ່ລະລາຍການເພື່ອໃຫ້ກົງກັບ URL ຫນຶ່ງໃນຮູບແບບຕໍ່ໄປນີ້:

ໂດຍໄດ້ກວດພົບແຖບເປີດ, Trojan ຕິດຕໍ່ກັບ Internet Explorer ຫຼື Firefox ຜ່ານກົນໄກ Dynamic Data Exchange (DDE) ເພື່ອກວດເບິ່ງວ່າແຖບນັ້ນກົງກັບຮູບແບບຫຼືບໍ່.

ການກວດສອບປະຫວັດການທ່ອງເວັບ ແລະແຖບເປີດຂອງເຈົ້າແມ່ນດໍາເນີນຢູ່ໃນຮອບ WHILE (ວົງຮອບທີ່ມີເງື່ອນໄຂກ່ອນ) ດ້ວຍການພັກຜ່ອນ 1 ວິນາທີລະຫວ່າງການກວດສອບ. ຂໍ້ມູນອື່ນໆທີ່ຖືກຕິດຕາມໃນເວລາທີ່ແທ້ຈິງຈະຖືກປຶກສາຫາລືໃນພາກ 4.5.

ຖ້າພົບຮູບແບບໃດນຶ່ງ, ໂປຣແກຣມຈະລາຍງານສິ່ງນີ້ໃຫ້ກັບເຊີບເວີຄຳສັ່ງໂດຍໃຊ້ລາຍຊື່ຂອງສະຕຣິງຈາກຕາຕະລາງຕໍ່ໄປນີ້:

4.5 ການຕິດຕາມ

ໃນຂະນະທີ່ Trojan ກໍາລັງເຮັດວຽກ, ຂໍ້ມູນກ່ຽວກັບຄຸນລັກສະນະຂອງລະບົບທີ່ຕິດເຊື້ອ (ລວມທັງຂໍ້ມູນກ່ຽວກັບການປະກົດຕົວຂອງຊອບແວທະນາຄານ) ຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງແລະການຄວບຄຸມ. ການພິມລາຍນິ້ວມືເກີດຂຶ້ນເມື່ອ RTM ທໍາອິດແລ່ນລະບົບການຕິດຕາມທັນທີຫຼັງຈາກການສະແກນ OS ເບື້ອງຕົ້ນ.

4.5.1. ທະນາຄານທາງໄກ

ໂມດູນ TBdo ຍັງຮັບຜິດຊອບໃນການຕິດຕາມຂະບວນການທີ່ກ່ຽວຂ້ອງກັບທະນາຄານ. ມັນໃຊ້ການແລກປ່ຽນຂໍ້ມູນແບບເຄື່ອນໄຫວເພື່ອກວດເບິ່ງແຖບໃນ Firefox ແລະ Internet Explorer ໃນລະຫວ່າງການສະແກນເບື້ອງຕົ້ນ. ໂມດູນ TShell ອື່ນຖືກນໍາໃຊ້ເພື່ອຕິດຕາມກວດກາປ່ອງຢ້ຽມຄໍາສັ່ງ (Internet Explorer ຫຼື File Explorer).

ໂມດູນໃຊ້ COM interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 ແລະ IConnectionPointContainer ເພື່ອຕິດຕາມປ່ອງຢ້ຽມ. ເມື່ອຜູ້ໃຊ້ນຳທາງໄປຫາໜ້າເວັບໃໝ່, ມັນແວຈະບັນທຶກສິ່ງນີ້. ຫຼັງຈາກນັ້ນມັນປຽບທຽບ URL ຂອງຫນ້າກັບຮູບແບບຂ້າງເທິງ. ໂດຍໄດ້ກວດພົບການຈັບຄູ່, Trojan ໃຊ້ເວລາ screenshots ຫົກອັນຕິດຕໍ່ກັນໂດຍມີໄລຍະຫ່າງ 5 ວິນາທີ ແລະສົ່ງພວກມັນໄປຫາເຊີບເວີຄໍາສັ່ງ C&S. ໂຄງການຍັງກວດເບິ່ງຊື່ປ່ອງຢ້ຽມບາງຢ່າງທີ່ກ່ຽວຂ້ອງກັບຊອບແວທະນາຄານ - ບັນຊີລາຍຊື່ເຕັມແມ່ນຂ້າງລຸ່ມນີ້:

4.5.2. ບັດອັດສະລິຍະ

RTM ຊ່ວຍໃຫ້ທ່ານສາມາດຕິດຕາມຕົວອ່ານບັດອັດສະລິຍະທີ່ເຊື່ອມຕໍ່ກັບຄອມພິວເຕີທີ່ຕິດເຊື້ອ. ອຸປະກອນເຫຼົ່ານີ້ຖືກນໍາໃຊ້ໃນບາງປະເທດເພື່ອຄືນດີຄໍາສັ່ງການຊໍາລະເງິນ. ຖ້າອຸປະກອນປະເພດນີ້ຕິດຢູ່ກັບຄອມພິວເຕີ, ມັນສາມາດຊີ້ບອກກັບ Trojan ວ່າເຄື່ອງໄດ້ຖືກໃຊ້ສໍາລັບການເຮັດທຸລະກໍາທະນາຄານ.

ບໍ່ເຫມືອນກັບໂທຈັນທະນາຄານອື່ນ, RTM ບໍ່ສາມາດພົວພັນກັບບັດອັດສະລິຍະດັ່ງກ່າວ. ບາງທີຟັງຊັນນີ້ລວມຢູ່ໃນໂມດູນເພີ່ມເຕີມທີ່ພວກເຮົາຍັງບໍ່ທັນໄດ້ເຫັນເທື່ອ.

4.5.3. Keylogger

ພາກສ່ວນທີ່ສໍາຄັນຂອງການຕິດຕາມ PC ທີ່ຕິດເຊື້ອແມ່ນການຈັບປຸ່ມກົດ. ມັນເບິ່ງຄືວ່ານັກພັດທະນາ RTM ບໍ່ໄດ້ຂາດຂໍ້ມູນໃດໆ, ເພາະວ່າພວກເຂົາຕິດຕາມບໍ່ພຽງແຕ່ກະແຈປົກກະຕິ, ແຕ່ຍັງແປ້ນພິມ virtual ແລະ clipboard.

ເພື່ອເຮັດສິ່ງນີ້, ໃຊ້ຟັງຊັນ SetWindowsHookExA. ຜູ້ໂຈມຕີບັນທຶກປຸ່ມກົດຫຼືກະແຈທີ່ສອດຄ້ອງກັບແປ້ນພິມສະເໝືອນ, ພ້ອມກັບຊື່ ແລະວັນທີຂອງໂປຣແກຣມ. ຫຼັງຈາກນັ້ນ, buffer ຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ C&C.

ຟັງຊັນ SetClipboardViewer ຖືກນໍາໃຊ້ເພື່ອຂັດຂວາງ clipboard. ແຮກເກີບັນທຶກເນື້ອໃນຂອງ clipboard ເມື່ອຂໍ້ມູນເປັນຂໍ້ຄວາມ. ຊື່ແລະວັນທີຍັງຖືກບັນທຶກກ່ອນທີ່ buffer ຈະຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍ.

4.5.4. ພາບໜ້າຈໍ

ຟັງຊັນ RTM ອື່ນແມ່ນການສະກັດຫນ້າຈໍ. ຄຸນສົມບັດດັ່ງກ່າວຖືກນຳໃຊ້ເມື່ອໂມດູນການຕິດຕາມປ່ອງຢ້ຽມກວດພົບເວັບໄຊ ຫຼືຊອບແວທະນາຄານທີ່ມີຄວາມສົນໃຈ. ພາບຫນ້າຈໍຖືກປະຕິບັດໂດຍໃຊ້ຫ້ອງສະຫມຸດຮູບພາບກາຟິກແລະໂອນໄປຫາເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ.

4.6. ການຖອນການຕິດຕັ້ງ

ເຊີບເວີ C&C ສາມາດຢຸດ malware ຈາກການເຮັດວຽກ ແລະເຮັດຄວາມສະອາດຄອມພິວເຕີຂອງທ່ານ. ຄໍາສັ່ງອະນຸຍາດໃຫ້ທ່ານສາມາດລຶບໄຟລ໌ແລະລາຍການລົງທະບຽນທີ່ສ້າງຂຶ້ນໃນຂະນະທີ່ RTM ກໍາລັງແລ່ນ. ຫຼັງຈາກນັ້ນ, DLL ຖືກນໍາໃຊ້ເພື່ອເອົາ malware ແລະໄຟລ໌ winlogon, ຫຼັງຈາກນັ້ນຄໍາສັ່ງປິດຄອມພິວເຕີ. ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້, DLL ຖືກໂຍກຍ້າຍອອກໂດຍນັກພັດທະນາໂດຍໃຊ້ erase.dll.

ເຊີບເວີສາມາດສົ່ງ Trojan ເປັນຄໍາສັ່ງ uninstall-lock ທໍາລາຍ. ໃນກໍລະນີນີ້, ຖ້າຫາກວ່າທ່ານມີສິດຜູ້ບໍລິຫານ, RTM ຈະລົບຂະແຫນງການ boot MBR ໃນຮາດດິດ. ຖ້າສິ່ງນີ້ລົ້ມເຫລວ, Trojan ຈະພະຍາຍາມປ່ຽນຂະແຫນງການບູດ MBR ໄປສູ່ຂະແຫນງການສຸ່ມ - ຫຼັງຈາກນັ້ນຄອມພິວເຕີຈະບໍ່ສາມາດບູດ OS ຫຼັງຈາກປິດ. ນີ້ສາມາດນໍາໄປສູ່ການຕິດຕັ້ງ OS ໃຫມ່ຢ່າງສົມບູນ, ຊຶ່ງຫມາຍຄວາມວ່າການທໍາລາຍຫຼັກຖານ.

ໂດຍບໍ່ມີສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບ, malware ຈະຂຽນ .EXE ທີ່ເຂົ້າລະຫັດໄວ້ໃນ RTM DLL ທີ່ຕິດພັນ. ການປະຕິບັດການດໍາເນີນການລະຫັດທີ່ຈໍາເປັນເພື່ອປິດຄອມພິວເຕີແລະລົງທະບຽນໂມດູນໃນລະຫັດລີຈິດຊີ HKCUCurrentVersionRun. ທຸກໆຄັ້ງທີ່ຜູ້ໃຊ້ເລີ່ມຕົ້ນເຊດຊັນ, ຄອມພິວເຕີປິດທັນທີ.

4.7. ໄຟລ໌ການຕັ້ງຄ່າ

ໂດຍຄ່າເລີ່ມຕົ້ນ, RTM ເກືອບບໍ່ມີໄຟລ໌ການຕັ້ງຄ່າ, ແຕ່ຄໍາສັ່ງແລະເຄື່ອງແມ່ຂ່າຍຄວບຄຸມສາມາດສົ່ງຄ່າການຕັ້ງຄ່າທີ່ຈະຖືກເກັບໄວ້ໃນລີຈິດຊີແລະນໍາໃຊ້ໂດຍໂຄງການ. ບັນຊີລາຍຊື່ຂອງກະແຈການຕັ້ງຄ່າແມ່ນໄດ້ນໍາສະເຫນີຢູ່ໃນຕາຕະລາງຂ້າງລຸ່ມນີ້:

ການຕັ້ງຄ່າຖືກເກັບໄວ້ໃນລະຫັດການລົງທະບຽນຊອບແວ [Pseudo-random string]. ແຕ່ລະຄ່າກົງກັນກັບແຖວໜຶ່ງທີ່ນຳສະເໜີໃນຕາຕະລາງກ່ອນໜ້າ. ຄ່າແລະຂໍ້ມູນຖືກເຂົ້າລະຫັດໂດຍໃຊ້ RC4 algorithm ໃນ RTM.

ຂໍ້ມູນມີໂຄງສ້າງດຽວກັນກັບເຄືອຂ່າຍ ຫຼືສະຕຣິງ. ປຸ່ມ XOR ສີ່ໄບຕ໌ຖືກເພີ່ມໃນຕອນຕົ້ນຂອງຂໍ້ມູນທີ່ເຂົ້າລະຫັດ. ສໍາລັບຄ່າການຕັ້ງຄ່າ, ປຸ່ມ XOR ແມ່ນແຕກຕ່າງກັນແລະຂຶ້ນກັບຂະຫນາດຂອງຄ່າ. ມັນສາມາດຖືກຄິດໄລ່ດັ່ງຕໍ່ໄປນີ້:

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)

4.8. ລັກສະນະອື່ນໆ

ຕໍ່ໄປ, ໃຫ້ເບິ່ງຫນ້າທີ່ອື່ນໆທີ່ RTM ສະຫນັບສະຫນູນ.

4.8.1. ໂມດູນເພີ່ມເຕີມ

Trojan ປະກອບມີໂມດູນເພີ່ມເຕີມ, ເຊິ່ງເປັນໄຟລ໌ DLL. ໂມດູນທີ່ສົ່ງມາຈາກເຊີບເວີຄໍາສັ່ງ C&C ສາມາດຖືກປະຕິບັດເປັນໂຄງການພາຍນອກ, ສະທ້ອນໃຫ້ເຫັນໃນ RAM ແລະເປີດຕົວໃນຫົວຂໍ້ໃຫມ່. ສໍາລັບການເກັບຮັກສາ, ໂມດູນຈະຖືກບັນທຶກໄວ້ໃນໄຟລ໌ .dtt ແລະເຂົ້າລະຫັດໂດຍໃຊ້ RC4 algorithm ດ້ວຍລະຫັດດຽວກັນທີ່ໃຊ້ສໍາລັບການສື່ສານເຄືອຂ່າຍ.

ມາຮອດປັດຈຸບັນພວກເຮົາໄດ້ສັງເກດເຫັນການຕິດຕັ້ງໂມດູນ VNC (8966319882494077C21F66A8354E2CBCA0370464), ໂມດູນສະກັດຂໍ້ມູນຂອງຕົວທ່ອງເວັບ (03DE8622BE6B2F75A364A275995C3411626C4E9F) ແລະໂມດູນ 1FBA2B 1BE562D1B69E6CFAB).

ເພື່ອໂຫລດໂມດູນ VNC, ເຊີບເວີ C&C ອອກຄໍາສັ່ງຮ້ອງຂໍການເຊື່ອມຕໍ່ກັບເຊີບເວີ VNC ຢູ່ທີ່ທີ່ຢູ່ IP ສະເພາະໃນພອດ 44443. plugin ດຶງຂໍ້ມູນຂອງຕົວທ່ອງເວັບປະຕິບັດ TBrowserDataCollector, ເຊິ່ງສາມາດອ່ານປະຫວັດການທ່ອງເວັບຂອງ IE ໄດ້. ຫຼັງຈາກນັ້ນ, ມັນຈະສົ່ງບັນຊີລາຍຊື່ເຕັມຂອງ URL ທີ່ໄປຢ້ຽມຢາມໄປຫາເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ C&C.

ໂມດູນສຸດທ້າຍທີ່ຄົ້ນພົບເອີ້ນວ່າ 1c_2_kl. ມັນສາມາດພົວພັນກັບຊຸດຊອບແວ 1C Enterprise. ໂມດູນປະກອບມີສອງສ່ວນ: ສ່ວນຕົ້ນຕໍ - DLL ແລະສອງຕົວແທນ (32 ແລະ 64 bit), ເຊິ່ງຈະຖືກສີດເຂົ້າໄປໃນແຕ່ລະຂະບວນການ, ລົງທະບຽນການຜູກມັດກັບ WH_CBT. ໄດ້ຖືກນໍາສະເຫນີເຂົ້າໃນຂະບວນການ 1C, ໂມດູນໄດ້ຜູກມັດຟັງຊັນ CreateFile ແລະ WriteFile. ທຸກຄັ້ງທີ່ຟັງຊັນ CreateFile bound ຖືກເອີ້ນ, ໂມດູນເກັບຮັກສາເສັ້ນທາງໄຟລ໌ 1c_to_kl.txt ໃນຫນ່ວຍຄວາມຈໍາ. ຫຼັງຈາກຂັດຂວາງການໂທ WriteFile, ມັນຈະເອີ້ນຟັງຊັນ WriteFile ແລະສົ່ງເສັ້ນທາງໄຟລ໌ 1c_to_kl.txt ໄປຫາໂມດູນ DLL ຕົ້ນຕໍ, ຖ່າຍທອດຂໍ້ຄວາມ Windows WM_COPYDATA ທີ່ສ້າງຂຶ້ນ.

ໂມດູນ DLL ຕົ້ນຕໍເປີດແລະວິເຄາະໄຟລ໌ເພື່ອກໍານົດຄໍາສັ່ງການຈ່າຍເງິນ. ມັນຮັບຮູ້ຈໍານວນແລະຈໍານວນການເຮັດທຸລະກໍາທີ່ມີຢູ່ໃນໄຟລ໌. ຂໍ້ມູນນີ້ຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍຄໍາສັ່ງ. ພວກເຮົາເຊື່ອວ່າໂມດູນນີ້ກໍາລັງພັດທະນາຢູ່ໃນຂະນະນີ້ ເພາະວ່າມັນມີຂໍ້ຄວາມດີບັກ ແລະບໍ່ສາມາດແກ້ໄຂ 1c_to_kl.txt ໂດຍອັດຕະໂນມັດໄດ້.

4.8.2. ການຂະຫຍາຍສິດທິພິເສດ

RTM ອາດຈະພະຍາຍາມເພີ່ມສິດທິພິເສດໂດຍການສະແດງຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດທີ່ບໍ່ຖືກຕ້ອງ. ມັລແວຈໍາລອງການກວດສອບການລົງທະບຽນ (ເບິ່ງຮູບຂ້າງລຸ່ມນີ້) ຫຼືໃຊ້ໄອຄອນຕົວແກ້ໄຂການລົງທະບຽນທີ່ແທ້ຈິງ. ກະລຸນາສັງເກດການສະກົດຜິດລໍຖ້າ – whait. ຫຼັງຈາກສອງສາມວິນາທີຂອງການສະແກນ, ໂຄງການສະແດງຂໍ້ຄວາມຜິດພາດທີ່ບໍ່ຖືກຕ້ອງ.

ຂໍ້ຄວາມທີ່ບໍ່ຖືກຕ້ອງຈະຫລອກລວງຜູ້ໃຊ້ໂດຍສະເລ່ຍ, ເຖິງວ່າຈະມີຄວາມຜິດພາດທາງ grammatical. ຖ້າຜູ້ໃຊ້ຄລິກໃສ່ຫນຶ່ງໃນສອງເຊື່ອມຕໍ່, RTM ຈະພະຍາຍາມເພີ່ມສິດທິພິເສດໃນລະບົບ.

ຫຼັງຈາກເລືອກຫນຶ່ງໃນສອງທາງເລືອກການຟື້ນຕົວ, Trojan ເປີດຕົວ DLL ໂດຍໃຊ້ຕົວເລືອກ runas ໃນຟັງຊັນ ShellExecute ກັບສິດທິຂອງຜູ້ບໍລິຫານ. ຜູ້ໃຊ້ຈະເຫັນການເຕືອນ Windows ທີ່ແທ້ຈິງ (ເບິ່ງຮູບຂ້າງລຸ່ມນີ້) ສໍາລັບຄວາມສູງ. ຖ້າຜູ້ໃຊ້ໃຫ້ການອະນຸຍາດທີ່ຈໍາເປັນ, Trojan ຈະດໍາເນີນການດ້ວຍສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບ.

ຂຶ້ນຢູ່ກັບພາສາເລີ່ມຕົ້ນທີ່ຕິດຕັ້ງຢູ່ໃນລະບົບ, Trojan ສະແດງຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດໃນພາສາລັດເຊຍຫຼືພາສາອັງກິດ.

4.8.3. ໃບຢັ້ງຢືນ

RTM ສາມາດເພີ່ມໃບຢັ້ງຢືນໃສ່ Windows Store ແລະຢືນຢັນຄວາມຫນ້າເຊື່ອຖືຂອງການເພີ່ມເຕີມໂດຍການຄລິກໃສ່ປຸ່ມ "ແມ່ນ" ໂດຍອັດຕະໂນມັດໃນກ່ອງໂຕ້ຕອບ csrss.exe. ພຶດຕິກໍານີ້ບໍ່ແມ່ນໃຫມ່; ສໍາລັບການຍົກຕົວຢ່າງ, ທະນາຄານ Trojan Retefe ຍັງຢືນຢັນການຕິດຕັ້ງໃບຢັ້ງຢືນໃຫມ່ຢ່າງເປັນອິດສະຫຼະ.

4.8.4. ການເຊື່ອມຕໍ່ຄືນ

ຜູ້ຂຽນ RTM ຍັງໄດ້ສ້າງອຸໂມງ Backconnect TCP. ພວກເຮົາຍັງບໍ່ທັນເຫັນຄຸນສົມບັດໃນການນຳໃຊ້ເທື່ອ, ແຕ່ມັນຖືກອອກແບບມາເພື່ອຕິດຕາມ PC ທີ່ຕິດເຊື້ອຈາກໄລຍະໄກ.

4.8.5. ການຈັດການໄຟລ໌ເຈົ້າພາບ

ເຊີບເວີ C&C ສາມາດສົ່ງຄຳສັ່ງໄປຫາ Trojan ເພື່ອແກ້ໄຂໄຟລ໌ host Windows. ໄຟລ໌ເຈົ້າພາບແມ່ນໃຊ້ເພື່ອສ້າງການແກ້ໄຂ DNS ແບບກຳນົດເອງ.

4.8.6. ຊອກຫາ ແລະສົ່ງໄຟລ໌

ເຊີບເວີອາດຈະຮ້ອງຂໍໃຫ້ຄົ້ນຫາ ແລະດາວໂຫລດໄຟລ໌ໃນລະບົບທີ່ຕິດເຊື້ອ. ຕົວຢ່າງ, ໃນລະຫວ່າງການຄົ້ນຄ້ວາພວກເຮົາໄດ້ຮັບການຮ້ອງຂໍສໍາລັບໄຟລ໌ 1c_to_kl.txt. ດັ່ງທີ່ໄດ້ອະທິບາຍໄວ້ກ່ອນຫນ້ານີ້, ໄຟລ໌ນີ້ຖືກສ້າງຂຶ້ນໂດຍລະບົບບັນຊີ 1C: Enterprise 8.

4.8.7. ປັບປຸງ

ສຸດທ້າຍ, ຜູ້ຂຽນ RTM ສາມາດປັບປຸງຊອບແວໄດ້ໂດຍການສົ່ງ DLL ໃຫມ່ເພື່ອທົດແທນສະບັບປະຈຸບັນ.

5 ສະຫຼຸບ

ການຄົ້ນຄວ້າຂອງ RTM ສະແດງໃຫ້ເຫັນວ່າລະບົບທະນາຄານຂອງລັດເຊຍຍັງດຶງດູດຜູ້ໂຈມຕີທາງອິນເຕີເນັດ. ກຸ່ມຕ່າງໆເຊັ່ນ Buhtrap, Corkow ແລະ Carbanak ສົບຜົນສໍາເລັດການລັກເງິນຈາກສະຖາບັນການເງິນແລະລູກຄ້າຂອງພວກເຂົາໃນລັດເຊຍ. RTM ເປັນຜູ້ນໃຫມ່ໃນອຸດສາຫະກໍານີ້.

ເຄື່ອງມື RTM ທີ່ເປັນອັນຕະລາຍໄດ້ຖືກນໍາໃຊ້ຕັ້ງແຕ່ທ້າຍປີ 2015, ອີງຕາມການ telemetry ESET. ໂຄງການດັ່ງກ່າວມີຄວາມສາມາດ spying ເຕັມຮູບແບບ, ລວມທັງການອ່ານບັດອັດສະລິຍະ, intercepting keystrokes ແລະຕິດຕາມກວດກາທຸລະກໍາທະນາຄານ, ເຊັ່ນດຽວກັນກັບການຊອກຫາໄຟລ໌ການຂົນສົ່ງ 1C: Enterprise 8.

ການນໍາໃຊ້ຂອງການແບ່ງປັນສູນກາງ, uncensored ໂດເມນ .bit ຊັ້ນເທິງເຮັດໃຫ້ແນ່ໃຈວ່າພື້ນຖານໂຄງລ່າງທີ່ມີຄວາມຢືດຢຸ່ນສູງ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ກຸ່ມ cyber RTM ຊ່ຽວຊານໃນການລັກເອົາເງິນຈາກບໍລິສັດລັດເຊຍ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ